Regolamento - 27/04/2016 - n. 679 art. 4 - Definizioni

Ada Fiaschi

Definizioni

Ai fini del presente regolamento s'intende per:

1) «dato personale»: qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»); si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale;

2) «trattamento»: qualsiasi operazione o insieme di operazioni, compiute con o senza l'ausilio di processi automatizzati e applicate a dati personali o insiemi di dati personali, come la raccolta, la registrazione, l'organizzazione, la strutturazione, la conservazione, l'adattamento o la modifica, l'estrazione, la consultazione, l'uso, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l'interconnessione, la limitazione, la cancellazione o la distruzione;

3) «limitazione di trattamento»: il contrassegno dei dati personali conservati con l'obiettivo di limitarne il trattamento in futuro;

4) «profilazione»: qualsiasi forma di trattamento automatizzato di dati personali consistente nell'utilizzo di tali dati personali per valutare determinati aspetti personali relativi a una persona fisica, in particolare per analizzare o prevedere aspetti riguardanti il rendimento professionale, la situazione economica, la salute, le preferenze personali, gli interessi, l'affidabilità, il comportamento, l'ubicazione o gli spostamenti di detta persona fisica;

5) «pseudonimizzazione»: il trattamento dei dati personali in modo tale che i dati personali non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive, a condizione che tali informazioni aggiuntive siano conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti a una persona fisica identificata o identificabile;

6) «archivio»: qualsiasi insieme strutturato di dati personali accessibili secondo criteri determinati, indipendentemente dal fatto che tale insieme sia centralizzato, decentralizzato o ripartito in modo funzionale o geografico;

7) «titolare del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinati dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri;

8) «responsabile del trattamento»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento;

9) «destinatario»: la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento;

10) «terzo»: la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che non sia l'interessato, il titolare del trattamento, il responsabile del trattamento e le persone autorizzate al trattamento dei dati personali sotto l'autorità diretta del titolare o del responsabile;

11) «consenso dell'interessato»: qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell'interessato, con la quale lo stesso manifesta il proprio assenso, mediante dichiarazione o azione positiva inequivocabile, che i dati personali che lo riguardano siano oggetto di trattamento;

12) «violazione dei dati personali»: la violazione di sicurezza che comporta accidentalmente o in modo illecito la distruzione, la perdita, la modifica, la divulgazione non autorizzata o l'accesso ai dati personali trasmessi, conservati o comunque trattati;

13) «dati genetici»: i dati personali relativi alle caratteristiche genetiche ereditarie o acquisite di una persona fisica che forniscono informazioni univoche sulla fisiologia o sulla salute di detta persona fisica, e che risultano in particolare dall'analisi di un campione biologico della persona fisica in questione;

14) «dati biometrici»: i dati personali ottenuti da un trattamento tecnico specifico relativi alle caratteristiche fisiche, fisiologiche o comportamentali di una persona fisica che ne consentono o confermano l'identificazione univoca, quali l'immagine facciale o i dati dattiloscopici;

15) «dati relativi alla salute»: i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute;

16) «stabilimento principale»:

a) per quanto riguarda un titolare del trattamento con stabilimenti in più di uno Stato membro, il luogo della sua amministrazione centrale nell'Unione, salvo che le decisioni sulle finalità e i mezzi del trattamento di dati personali siano adottate in un altro stabilimento del titolare del trattamento nell'Unione e che quest'ultimo stabilimento abbia facoltà di ordinare l'esecuzione di tali decisioni, nel qual caso lo stabilimento che ha adottato siffatte decisioni è considerato essere lo stabilimento principale;

b) con riferimento a un responsabile del trattamento con stabilimenti in più di uno Stato membro, il luogo in cui ha sede la sua amministrazione centrale nell'Unione o, se il responsabile del trattamento non ha un'amministrazione centrale nell'Unione, lo stabilimento del responsabile del trattamento nell'Unione in cui sono condotte le principali attività di trattamento nel contesto delle attività di uno stabilimento del responsabile del trattamento nella misura in cui tale responsabile è soggetto a obblighi specifici ai sensi del presente regolamento;

17) «rappresentante»: la persona fisica o giuridica stabilita nell'Unione che, designata dal titolare del trattamento o dal responsabile del trattamento per iscritto ai sensi dell'articolo 27, li rappresenta per quanto riguarda gli obblighi rispettivi a norma del presente regolamento;

18) «impresa»: la persona fisica o giuridica, indipendentemente dalla forma giuridica rivestita, che eserciti un'attività economica, comprendente le società di persone o le associazioni che esercitano regolarmente un'attività economica;

19) «gruppo imprenditoriale»: un gruppo costituito da un'impresa controllante e dalle imprese da questa controllate;

20) «norme vincolanti d'impresa»: le politiche in materia di protezione dei dati personali applicate da un titolare del trattamento o responsabile del trattamento stabilito nel territorio di uno Stato membro al trasferimento o al complesso di trasferimenti di dati personali a un titolare del trattamento o responsabile del trattamento in uno o più paesi terzi, nell'ambito di un gruppo imprenditoriale o di un gruppo di imprese che svolge un'attività economica comune;

21) «autorità di controllo»: l'autorità pubblica indipendente istituita da uno Stato membro ai sensi dell'articolo 51;

22) «autorità di controllo interessata»: un'autorità di controllo interessata dal trattamento di dati personali in quanto:

a) il titolare del trattamento o il responsabile del trattamento è stabilito sul territorio dello Stato membro di tale autorità di controllo;

b) gli interessati che risiedono nello Stato membro dell'autorità di controllo sono o sono probabilmente influenzati in modo sostanziale dal trattamento; oppure

c) un reclamo è stato proposto a tale autorità di controllo;

23) «trattamento transfrontaliero»:

a) trattamento di dati personali che ha luogo nell'ambito delle attività di stabilimenti in più di uno Stato membro di un titolare del trattamento o responsabile del trattamento nell'Unione ove il titolare del trattamento o il responsabile del trattamento siano stabiliti in più di uno Stato membro; oppure

b) trattamento di dati personali che ha luogo nell'ambito delle attività di un unico stabilimento di un titolare del trattamento o responsabile del trattamento nell'Unione, ma che incide o probabilmente incide in modo sostanziale su interessati in più di uno Stato membro;

24) «obiezione pertinente e motivata»: un'obiezione al progetto di decisione sul fatto che vi sia o meno una violazione del presente regolamento, oppure che l'azione prevista in relazione al titolare del trattamento o responsabile del trattamento sia conforme al presente regolamento, la quale obiezione dimostra chiaramente la rilevanza dei rischi posti dal progetto di decisione riguardo ai diritti e alle libertà fondamentali degli interessati e, ove applicabile, alla libera circolazione dei dati personali all'interno dell'Unione;

25) «servizio della società dell'informazione»: il servizio definito all'articolo 1, paragrafo 1, lettera b), della direttiva (UE) 2015/1535 del Parlamento europeo e del Consiglio;

26) «organizzazione internazionale»: un'organizzazione e gli organismi di diritto internazionale pubblico a essa subordinati o qualsiasi altro organismo istituito da o sulla base di un accordo tra due o più Stati.

Inquadramento

Ai sensi dell'art. 4.9 del reg. (UE) 2016/679, di seguito anche “GDPR”, per destinatario si intende: “la persona fisica o giuridica, l'autorità pubblica, il servizio o un altro organismo che riceve comunicazione di dati personali, che si tratti o meno di terzi. Tuttavia, le autorità pubbliche che possono ricevere comunicazione di dati personali nell'ambito di una specifica indagine conformemente al diritto dell'Unione o degli Stati membri non sono considerate destinatari; il trattamento di tali dati da parte di dette autorità pubbliche è conforme alle norme applicabili in materia di protezione dei dati secondo le finalità del trattamento.”.

Il termine “destinatario” è più ampio rispetto a quello di “terzi”, la differenza tra queste due categorie di persone o entità, si trova principalmente nel loro rapporto con il titolare del trattamento e, di conseguenza, nel tipo di autorizzazione loro conferita ai fini dell'accesso ai dati personali in possesso di detto titolare del trattamento (CoE-FRA-EDPS, § 2.3.2).

Con il termine di destinatario difatti si rappresentano figure diverse: è destinatario ogni soggetto che riceve i dati personali dal titolare. Può essere una persona esterna al titolare o al responsabile del trattamento – in tal caso sarebbe un terzo – o qualcuno interno al titolare o al responsabile del trattamento, come per esempio un dipendente o un altro reparto all'interno di un'azienda o autorità. La distinzione tra destinatari e terzi è importante solo a causa delle condizioni per la divulgazione lecita dei dati. Quanto indicato era stato così rappresentato dal previgente gruppo ex art. 29 nella opinion 1/2010; a tale riguardo si rende necessario rappresentare che la predetta opinion è stata successivamente oggetto di rivisitazione da parte dell'European Data Protection Board il quale ha emesso le Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR, adottate il 7 luglio 2021 le quali hanno sostituito il precedente parere del gruppo di lavoro Articolo 29 su tali concetti.

L'EDPB nell'approfondire i concetti di titolare del trattamento e di responsabile del trattamento ai sensi del GDPR analizza anche i concetti di destinatario e di terzo. A differenza di quanto avviene per il titolare ed il responsabile del trattamento, il regolamento non stabilisce obblighi o responsabilità specifici per i destinatari e i terzi. Si tratta di concetti relazionali, che rimandano ad una relazione con un titolare o con un responsabile del trattamento da una prospettiva specifica. Un destinatario di dati personali e un terzo possono essere considerati al contempo titolari o responsabili del trattamento da altri punti di vista.

Il Titolare dovrà verificare l'elenco dei soggetti che potrebbero rivestire questo ruolo, in fase di raccolta dei dati ed indicarli nell'informativa diretta agli interessati, anche solo per categorie; i predetti soggetti possono ricevere tali dati per eseguire trattamenti per conto del titolare, o per conseguire proprie specifiche finalità (Riccio-Scorza-Belisario, art. 4, VII, 43).

L'interessato dovrebbe ricevere le informazioni relative al trattamento di dati personali che lo riguardano al momento della raccolta presso l'interessato o, se i dati sono ottenuti da altra fonte, entro un termine ragionevole, in funzione delle circostanze del caso. Se i dati personali possono essere legittimamente comunicati a un altro destinatario, l'interessato dovrebbe esserne informato nel momento in cui il destinatario riceve la prima comunicazione dei dati personali (considerando 61, Reg. (UE) 2016/679).

Trasferimenti in un paese terzo

Se il destinatario risiede al di fuori del territorio dell'Unione europea, occorre che il titolare verifichi l'esistenza di specifiche garanzie per la protezione dei dati, prima di trasferire i dati (art. 14, Reg. (UE) n. 2016/679). In mancanza di una decisione di adeguatezza, il titolare del trattamento o il responsabile del trattamento può trasferire dati personali verso un paese terzo o un'organizzazione internazionale solo se ha fornito garanzie adeguate e a condizione che gli interessati dispongano di diritti azionabili e mezzi di ricorso effettivi.

Al riguardo va rilevato che L'EDPB nell'analizzare la tematica dei trasferimenti internazionali dei dati personali ai sensi dell'art. 3 del Regolamento UE 2016/679, ha preso atto che il GDPR non offre, né all'interno dell'art. 4 né nel capo V, una definizione puntuale di “trasferimento di dati personali a un paese terzo o a un'organizzazione internazionale”.

A Pertanto sempre n merito alla definizione di trasferimento l'EDPB a seguito di consultazione pubblica attivata il 18 novembre 2021, ha adottato il 14 febbraio 2023 delle linee guida che individuano tre criteri cumulativi per qualificare un'operazione di trattamento come trasferimento: i) l'esportatore di dati (un titolare o un responsabile del trattamento) è soggetto al GDPR per il dato trattamento; ii) l'esportatore di dati trasmette o rende disponibili i dati personali all'importatore di dati (un altro titolare, un titolare congiunto o un responsabile del trattamento); iii) l'importatore di dati è in un paese terzo o è un'organizzazione internazionale.

Rappresentate le precedenti analisi in merito al concetto di trasferimento occorre soffermarsi sul concetto di garanzie adeguate.

Ai sensi dell'art. 46, Reg. (UE) n. 2016/679: «possono costituire garanzie adeguate di cui al paragrafo 1 senza necessitare di autorizzazioni specifiche da parte di un'autorità di controllo: a) uno strumento giuridicamente vincolante e avente efficacia esecutiva tra autorità pubbliche o organismi pubblici; b) le norme vincolanti d'impresa in conformità dell'art. 47; c) le clausole tipo di protezione dei dati adottate dalla Commissione secondo la procedura d'esame di cui all'art. 93, par. 2; d) le clausole tipo di protezione dei dati adottate da un'autorità di controllo e approvate dalla Commissione secondo la procedura d'esame di cui all'art. 93, par. 2; e) un codice di condotta approvato a norma dell'art. 40, unitamente all'impegno vincolante ed esecutivo da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati; o f) un meccanismo di certificazione approvato a norma dell'art. 42, unitamente all'impegno vincolante ed esigibile da parte del titolare del trattamento o del responsabile del trattamento nel paese terzo ad applicare le garanzie adeguate, anche per quanto riguarda i diritti degli interessati».

Inoltre ai sensi dell'art. 58 par. 2 lett. j) del GDPR ogni autorità di controllo ha il potere correttivo di ordinare la sospensione dei flussi di dati verso un destinatario in un paese terzo o un'organizzazione internazionale.

In merito al flusso di dati personali in materia finanziaria, può essere di interesse sapere che anche in tale ambito “il Garante ha sottolineato che tra i requisiti per assicurare garanzie appropriate per tali trasferimenti, il GDPR (art. 46, par. 3, lett. b) indica anche le disposizioni da inserire in accordi amministrativi tra autorità pubbliche (ad. es. un memorandum of understanding) che comprendano diritti effettivi e azionabili per gli interessati, previa autorizzazione dell'autorità di controllo competente.” Tali accordi tra amministrazioni devono contenere i principi base della protezione dati, nonché tra gli altri, il divieto di ulteriore trasferimento, fatte salve specifiche garanzie (autorizzazione della parte che trasferisce i dati e obbligo per il terzo destinatario di assicurare le medesime salvaguardie); la sicurezza e la confidenzialità dei dati; la designazione di un meccanismo di supervisione esterna sul rispetto dei principi di protezione dati; specifiche garanzie per i dati sensibili (Relazione annuale del Garante per la protezione dei dati personali 2017, par. 22.1; La cooperazione tra Autorità garanti nell'UE: il Gruppo Art. 29) [doc. web n. 9005824].

Sanzioni amministrative

La violazione delle disposizioni relative ai trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale, è punita ai sensi dell'art. 83, in conformità del paragrafo 2, con sanzioni amministrative pecuniarie fino a 20.000.000 EUR, o per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore.

Le predette sanzioni ai sensi dell'art. 15, comma 3 del d.lgs. n. 101/2018, saranno irrogate dal Garante per la protezione dei dati personali, il quale dovrà avere cura di valutare caso per caso, la gravità delle violazioni, nonché la tipologia e la dosimetria delle sanzioni da applicare, affinché le stesse siano sempre effettive, proporzionate e dissuasive.

Il procedimento per l'adozione dei provvedimenti e delle sanzioni può essere avviato, nei confronti sia di soggetti privati, sia di autorità pubbliche ed organismi pubblici, a seguito di reclamo ai sensi dell'art. 77 GDPR o anche di ufficio, a seguito di una attività istruttoria di iniziativa del Garante, nell'ambito dei poteri di cui all'art. 58, par. 1, GDPR, nonché in relazione ad accessi ispezioni e verifiche svolte in base ai poteri di accertamento autonomi, ovvero delegati dal Garante (Bolognini, in Bolognini-Pelino, par. 23).

Sulle sanzioni è stato rilevato in dottrina che non sarà semplice applicarle. La proporzionalità delle stesse, legata ai calcoli relativi al fatturato dei cosiddetti “undertakings” – è la traduzione in inglese della nozione di gruppo di imprese – non è facilmente parametrabile. Cosa significa “gruppo”? Ci sono gruppi di imprese omogenei, che operano in ambiti analoghi in diversi Paesi, e ci sono conglomerati, che legano al loro interno gruppi di imprese operanti in diversi ambiti industriali e merceologici. In che modo le sanzioni saranno applicate, notificate a multinazionali con sedi legali ed headquarters fuori dall'UE ed infine riscosse? (Panetta).

Inoltre il Cod. privacy novellato dal d.lgs. n. 101/2018 ha previsto agli artt. 167 e ss., le fattispecie per cui saranno applicabili le sanzioni penali. Pertanto un trasferimento illecito ad un destinatario terzo potrà tra l'altro essere penalmente rilevante.

Eccezioni

La definizione di destinatario, estremamente ampia, prevede una eccezione per le autorità pubbliche ai fini di indagine. L'eccezione si ritiene debba essere circoscritta agli obblighi di informativa, e non alle condizioni di liceità del trattamento.

A salvaguardia dei diritti degli interessati il considerando 31, prevede che le richieste inviate dalle autorità pubbliche dovrebbero sempre essere scritte, motivate e occasionali e non dovrebbero riguardare un intero archivio o condurre all'interconnessione di archivi. Il trattamento di tali dati personali da parte delle autorità pubbliche dovrebbe essere conforme alle norme in materia di protezione dei dati applicabili secondo le finalità del trattamento.

Bibliografia

Bolognini-Pelino-Bistolfi, Il Regolamento Privacy Europeo, Milano, 2016; Bolognini-Pelino, Codice Privacy: tutte le novità del d.lgs. 101/2018, Milano, 2018; CoE-FRA-EDPS, Manuale europeo in materia di protezione di dati, in fra.europa.eu, 2018, Relazione annuale, in Garanteprivacy.it), 2017; Riccio-Scorza-Belisario, Milano 2018, GDPR e normativa Privacy commentario, Milano, 2018; Rocco Panetta, GDPR, sanzioni e responsabilità: tutto ciò che c'è da sapere, in Agendadigitale.eu, 11 settembre 2018.

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.

Cerca nel testo

Sommario

Testo articolo

Inquadramento

Trasferimenti in un paese terzo

Sanzioni amministrative

Eccezioni

Bibliografia